Risk- och sårbarhetsanalys för Totalförsvarets forskningsinstitut (FOI) 2014
Publiceringsdatum: 2014-12-16
Rapportnummer: FOI-R--3959--SE
Sidor: 86
Skriven på: Svenska
Sammanfattning
Föreliggande rapport redogör för resultaten från Totalförsvarets forskningsinstituts (FOI) risk- och sårbarhetsanalys (RSA) samt förmågebedömning 20141. Detta i enlighet med kraven som regleras i förordningen 2006:942 om krisberedskap och höjd beredskap. Resultaten av FOI:s RSA ger indikation på FOI:s förmåga att hantera kriser och oönskade händelser. FOI är inte en så kallad § 11-myndighet vilket innebär att myndigheten inte har ett lagstiftat ansvarsområde (§ 9 2006:942, "särskilt ansvar för krisberedskapen") eller någon explicit roll inom samhällets krisberedskap (SFS, 2006b). FOI kan möjligtvis ha en roll i samhällets krisberedskap genom att myndighetens stöd efterfrågas av andra aktörer vid allvarliga händelser. FOI är därutöver en uppdragsfinansierad myndighet vilket innebär att FOI i regel måste ta betalt för det arbete som utförs. I FOI:s RSA används FOI:s modell för risk- och sårbarhetsanalyser (FORSA). Händelsen, eller scenariot, som analyseras benämns: "Omfattande skyfall över Riskinge - scenario för särskild förmågebedömning 2014". Scenariot tillhandahölls av Myndigheten för samhällsskydd och beredskap (MSB) och är ett krav i årets rapportering. FOI:s förmåga analyseras därför i fullt ut utifrån MSB:s scenario. Den generella krisberedskapsförmågan beskrivs med hjälp av MSB:s indikatorer på förmåga. MSB:s skala för krisberedskapsförmåga är enligt följande: God, God med vissa brister, Bristfällig och Mycket bristfällig. Resultaten från årets förmågebedömning utifrån MSB:s indikatorer visar att FOI:s krisberedskapsförmåga gentemot scenariot är god med vissa brister, samt att FOI:s "Förmåga i samhällsviktig verksamhet att motstå allvarliga störningar" (med effekter av samma magnitud som skyfallsscenariot) är god med vissa brister. Det innebär att FOI under scenariots skeende under någon eller några dagar bedöms nätt och jämt kunna utföra sin verksamhet. (Denna bedömning görs eftersom årets scenario i princip slår ut el, elektroniska kommunikationskanaler samt transportnätet. El och kommunikationer är viktiga resurser för att kunna bedriva verksamheten i organisationen.) FOI bedömer att det inte är möjligt att göra en heltäckande bedömning av myndighetens förmåga enbart baserat på MSB:s indikatorer. Förmågan kopplat till scenariot beskrivs därför även delvis utifrån upplägget på FOI:s egen RSA-modell (FORSA), det vill säga utifrån en sårbarhetsbedömning av FOI:s kritiska beroenden samt en förmågebedömning avseende FOI:s prioriterade åtaganden. Denna analys har delvis en annan skärning än MSB:s indikatorer på krisberedskap, eftersom den utgår från de uppgifter som FOI anser vara särskilt viktiga, och inte från resurser och generella förutsättningar som MSB:s indikatorer berör. Årets analys visar att skyfalls-scenariot endast i liten utsträckning påverkar FOI:s prioriterade åtaganden. Detta utifrån karaktären på den verksamhet som bedrivs. Förmågan att uppfylla verksamhetens krav över normala tidsramar bedöms vara God. Givet att scenariot temporärt ger stora störningar i kommunikation, el och transporter kan delar av FOI:s verksamhet, som tidigare nämnts, bli noterbart drabbad under kort tid (dag/dagar). Under den korta tidsrymden då scenariot utspelar sig kan delar av FOI:s verksamhet uppleva en bristfällig förmåga att utföra sin verksamhet. Termen bristfällig innebär i sammanhanget att verksamheten endast klarar av att uppfylla delar av sina åtaganden. Dock, eftersom den absoluta majoriteten av FOI:s arbete sker med tidsramar på månader och år får scenariot inga större effekter på FOI:s verksamheter som helhet. Eftersom FOI i princip inte bedriver operativ verksamhet i någon krisfunktion i samhället får effekterna på FOI heller inga egentliga effekter på samhällets krisrelaterade förmåga. Den del av FOI som har ett operativt krav, "operativt expertstöd vid . CBRN-händelser2" är aktuell i fall då explicit CBRN-kompetens behövs. Förutom FOI:s förmågebedömning av scenariot skyfall är även tidigare analyser av oönskade händelser kvar i mindre omfattning i rapporten. Av dessa bedöms "Allvarlig pandemi", "Terrorattentat eller hot om terrorattentat mot FOI-anläggning", "Stor sprängladdning i FOI-anläggning" och "Allvarlig olycka vid FOI-anläggning eller annan plats där FOI-personal uppehåller sig" kunna leda till störst konsekvenser för FOI:s verksamhet. Resonemangen kring dessa scenarier bedöms gälla även för årets rapport. Slutligen formuleras ett antal åtgärdsförslag som sprungit ur arbetsmöten med respektive ort där FOI bedriver verksamhet samt utifrån den aggregerade bild som framkommit under årets risk- och sårbarhetsanalys. Åtgärdsförslagen beskrivs utförligare i kapitel 9.2. Åtgärdsförslag: ? Säkerställ ett strukturerat helhetsgrepp på organisationens riskhantering. ? Säkerställ att all känslig/kritisk utrustning(datorer, servrar, filter o.dyl.) då det är möjligt placeras på ett sådant sätt att den klarar av en förhöjd vattennivå i linje med scenariot, och i de fall då byggnaden bedöms kunna ta in vatten vid översvämning. Detta är en förhållandevis enkel åtgärd som kan göra skillnad på förlorad eller inte förlorad data i laboratorier och övriga lokaler. ? Utred behov och möjligheter att omlokalisera kritisk verksamhet med kort varsel. Detta på grund av risken för eventuella vattenskador på faciliteter samt försöksverksamhetens behov av vissa speciella typer av faciliteter (byggnader o.dyl.). ? Förbättra möjligheten till regelbunden backup av stora mängder data. Denna punkt kom främst upp i en av orterna, där extra stora viktiga datamängder behöver tillfredställande backuphantering. ? Säkerställ i krisplaneringen för organisationen att planerna beaktar placering av reservkraft, apparatur för avbrottssäker drift och liknande utifrån en händelse i linje med scenariot. Ett särskilt notervärt förslag riktat mot kravställande aktörer inom riskhanteringsområdet följer nedan: ? Synkronisera de kravställande aktörernas informationsförfrågningar inom riskhanteringsområdet i innehåll och tid. Detta för att underlätta ett effektivt utnyttjande av det offentligas medel. I dagsläget kommer ett antal olika krav på myndigheters riskhantering från ett antal olika aktörer. (Kraven kommer från t.ex. Myndigheten för Samhällsskydd och Beredskap, Kammarkollegiet, Ekonomistyrningsverket.) Ansträngningar bör göras så att dessa krav är synkroniserade vad gäller innehåll och tidsramar. Ett förslag är att koppla arbetet till statliga myndigheters årscykel. De kravställande aktörerna bör medvetandegöras och om möjligt synkronisera information som kommer att efterfrågas. Detta för att undvika onödigt dubbelarbete för de myndigheter som påverkas av de olika riskhanteringskraven. Övriga noteringar av intresse: Arbetet med riskhantering och risk- och sårbarhetsanalyser är en process som är under ständiga ambitioner till förbättring och förenkling. I samband med detta är en av ambitionerna med årets rapport, och strukturen kring denna, att fokusera på förändringarna gentemot förra årets rapport, samt att rapportstrukturen ska göras mer återanvändbar. Även FOI:s metod för risk- och sårbarhetsanalys (FORSA) genomgår uppdateringsarbete, vilket kan slå igenom i kommande RSA:er. Förändringen och förenklingen av rapporten är dock bunden till graden av detalj i de krav som ställs på rapporteringen vad gäller struktur och frågor. Som ytterligare information ges att MSB omarbetar föreskrifterna för, och strukturen kring, risk- och sårbarhetsarbetet. Detta kan komma att påverka arbetet och dess utformning vad gäller nästkommande RSA. 1 Notera att denna rapport inte har ambition att utgöra en vetenskaplig publikation utan är en redogörelse av utförda riskanalysaktiviteter. 2 FOI:s regleringsbrev för budgetåret 2014